基本取证方法

创建和挂载镜像

恶意软件分析

这不是在获取镜像后执行的第一步。但是如果你有一个文件、文件系统镜像、内存镜像、pcap 等，你可以独立使用这些恶意软件分析技术，所以最好记住这些操作：

检查镜像

如果你获得了设备的取证镜像，你可以开始分析分区、使用的文件系统并恢复可能的有趣文件（甚至是已删除的文件）。在以下链接中了解如何操作：

根据使用的操作系统甚至平台，应该搜索不同的有趣的证据：

对特定文件类型和软件进行深入检查

如果你有一个非常可疑的文件，那么根据文件类型和创建它的软件，可能会有一些技巧有用。阅读以下页面以了解一些有趣的技巧：

内存转储检查

Pcap 检查

反取证技术

威胁猎杀